前言

  2009 年 12 月，工業(yè)和信息化部出臺了《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法（試行）》，對基礎(chǔ)電信企業(yè)的信息安全責(zé)任提出了明確要求。隨之，該運(yùn)營商集團(tuán)公司2010年6月頒發(fā)了《中國某運(yùn)營商集團(tuán)公司信息安全責(zé)任矩陣》，并要求各省及市公司落地執(zhí)行。因此，結(jié)合該運(yùn)營商網(wǎng)絡(luò)部網(wǎng)管中心的實際情況，建立健全網(wǎng)絡(luò)部網(wǎng)管中心信息安全責(zé)任矩陣落地支撐流程和文件，從而按照集團(tuán)公司信息安全責(zé)任矩陣要求進(jìn)行落地實施。


信息安全責(zé)任矩陣內(nèi)容

   《信息安全責(zé)任矩陣》主要內(nèi)容包括業(yè)務(wù)流程、關(guān)鍵性控制、控制目標(biāo)及負(fù)責(zé)部門。

• 流程視圖與部門視圖：流程視圖以業(yè)務(wù)流程主線，重點(diǎn)描述相關(guān)流程的控制目標(biāo)和責(zé)任部門；部門視圖以部門為主線，重點(diǎn)歸納整理了各部門信息安全責(zé)任。
• 業(yè)務(wù)流程：包括8個業(yè)務(wù)流程組，共26個與信息安全相關(guān)的業(yè)務(wù)流程；
• 關(guān)鍵性控制：指業(yè)務(wù)流程中的關(guān)鍵控制環(huán)節(jié)，共48個；
• 控制目標(biāo)：與關(guān)鍵性控制對應(yīng)，描述相關(guān)信息安全控制要求；
•  責(zé)任部門：指關(guān)鍵性控制涉及的責(zé)任部門，分牽頭部門和配合部門。

安全評估實施過程

   該項目共分為四個階段實施，分別是信息安全責(zé)任矩陣梳理、差異評估、流程梳理、流程支撐文件設(shè)計。
      

 

項目實施成果

    項目梳理了12個流程，針對每個流程活動設(shè)計了支撐文件，并對關(guān)鍵流程設(shè)計了考核指標(biāo)。
    




 總體評價

   該項目通過流程梳理的方法幫助信息安全責(zé)任矩陣的要求落地，并設(shè)計了安全考核，即滿足了集團(tuán)矩陣檢查的要求，又為該運(yùn)營商的安全管理提供了新的思路和方向，該項目獲得用戶高度評價和認(rèn)可。